Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/08/2015
Vulnerabilidad de acceso ilegítimo a Dropbox, Google Drive o OneDrive sin necesidad de la contraseña
Investigadores de Imperva han presentado en BlackHat el ataque "Man in The cloud" porque el que un atacante podría obtener todos los archivos en servicios almacenados en la nube o infectarlos de forma trasparente al usuario.Aprovechando una vulnerabilidad en el diseño del sistema de sincronización que ofrece distintos servicios de almacenamiento en la nube como Dropbox, Box, OneDrive o Google Drive el atacante podría acceder a los archivos del usuario, añadir malware en el cloud del usuario o emplear la cuenta de ese usuario para otros ataques. El atacante incluso podría modificar la contraseña tomando el control absoluto de la misma.
No es necesario ningún tipo de exploit para explotar esta vulnerabilidad, tan solo hacerse con el token de contraseña que reside en el dispositivo del usuario.
Sistemas Afectados:Servicios en la nube como Dropbox, Box, OneDrive o Google Drive.
Referencias:None
Solución:De momento no hay solución tan solo esperar que los fabricantes emitan un parche que solucione este fallo y evitar tener información sensible en la nube.
Notas:Más información:
Man in The Cloud Attacks
https://www.blackhat.com/us-15/sponsored-sessions.html#man-in-the-cloud-attacks
Man in the Cloud (MITC) Attacks
https://www.imperva.com/docs/imperva_Hacker_Intelligence_Initiative_No22_Jul2015_NEW_FINAL.pdf